微软(Microsoft)身份安全总监 Alex Weinert 早已公开警告,密码在实际安全防护上的效益不彰,最近又再度呼吁指出标准多因素验证(Multi-Factor Authentication,MFA)的安全性也好不到哪里去!
今年稍早之际,Weinert 曾在微软官方部落格上以《你的Pa$$word没啥用》为题发出警告,文中他特别阐述了即使使用强式密码也不一定有防护效果的原因。“就字元组合和长度来说,你的密码多半没什么作用,”Weinert 指出。即使他知道,在微软和他一齐打拼的团队每天都在防御数以亿计的密码攻击,他还是发出了这样令人气馁的警告。
“请切记,攻击你的骇客只会关心如何密码偷到手……这是假设性安全与实际上安全之间的关键区别,”Weinert 表示。换句话说,恶意攻击者会极尽所能地窃取你的密码,而且即使是强式密码也不会对骇客构成什么障碍,因为犯罪分子有充足的时间和各种工具可供使用。
密码会以共享机密的形式同时常驻在容易遭骇装置与服务器上
在部落格文章内的表格中,他列出了骇客得以经常成功,而且密码毫无作用的原因。例如:
- 密码外泄
- 亦即恶意攻击者已经偷到你的密码。
- 风险:大规模资料外泄的戏码一直在上演。一方面是因为他们早已拿到你的密码,另一方面是因为想要想出什么好密码并不容易,而且使用者也习惯重复使用一样的密码(有 62% 的使用者承认在不同账号重复使用同一个密码),结果导致骇客得以一口气入侵使用者多个账号。如今 Microsoft ID 系统中每天有超过 2,000 万个账号遭到恶意探测。
- 密码喷溅攻击(Password Spray)
- 又名密码猜解
- 风险:通常每天会有成千上万次的暴力破解之举,以及数百万次的恶意探测。
- 网络钓鱼
- 亦即会假冒你所信任之信誉良好公司发送的邮件(有时跟真的没什么样)。
- 风险:人们因为好奇、担心或不小心开启都能让钓鱼攻击发挥作用。
根据总部位于加州山景城的 EDA 暨软件安全商新思科技(Synopsys)指出,当前针对上述安全风险的解决方案,多半依赖生物辨识技术,例如指纹、声纹或人脸辨识技术,这些技术在其他方面多半与软件安全有关。“这些辨识机制只会储存在使用者装置上。但密码却以“共享机密”的形式,同时常驻在众所周知很有可能会被骇的装置与服务器上,”Synopsys 表示。
Synopsys 另外附注:如果你透过字母与符号的混用,将密码设得又长又复杂,不但定期更改密码,而且不会在多个账号使用同一个密码,那么你可能成为远离安全风险的人(因为大多数使用者不会这样做),也就是说,你会比绝大多数的人更加安全。
简讯 MFA是同类 MFA 中最不安全的认证机制
Weinert 认为,基于电话,或称公共交换电话网络(Publicly Switched Telephone Network,PSTN)的 MFA 验证并不安全(所谓典型的 MFA 验证是指,某银行经由简讯发送给你验证码的机制而言)。
“我相信简讯 MFA 是当前所有可用 MFA 机制中最不安全的方法,”Weinert 在其官方部落格贴文中写道。“在 SMS 简讯和语音协定被开发并推出时,它们设计上并没有加密……这意味着任何可以存取交换网络或存取位在无线射频范围内装置的人都可以将简讯讯号截获下来。”
解决之道就是使用基于 App 的身份验证机制,例如 Microsoft Authenticator 或 Google Authenticator 等身份验证器 App。App 之所以更安全,是因为它不需依赖你的电信商。验证码直接在 App 中生成,并且很快过期。
- Microsoft Warns: A Strong Password Doesn’t Work, Neither Does Typical Multi-Factor Authentication
(首图来源:pixabay)
